暗号通貨サービスのセキュリティ検討に利用できる基準
CryptoCurrency Security Standard(CCSS)という暗号通貨セキュリティ基準があります。
こちらはCryptoCurrency Certification Consortium(C4)という非営利団体が提案した基準で、暗号通貨取引所やWalletサービスを運営する事業者が利用できる基準になっています。
CryptoCurrency Security Standard (CCSS) 日本語訳
ボードメンバーには、ビットコインのベストセラー「Mastering Bitcoin(邦題:ビットコインとブロックチェーン)」の著者であるAndreas M. AntonopoulosやEthereum創始者のVitalik Buterinなどが名を連ねています。
セキュリティ検討時にマトリックスが便利
ドラフトができたのが2015年、最後の更新も2016年とやや古いのですが、観点としては大事なところは抑えられている印象で、サービス作りの上では有用な基準だと思われます。利用しやすいのはマトリックスで、2個のカテゴリ、10個の観点にわかれています。
- Cryptographic Asset Management (暗号資産の管理)
- Key / Seed Generation(鍵・シードの生成)
- Wallet Creation(Walletの生成)
- Key Storage(鍵の保管)
- Key Usage(鍵の利用)
- Key Compromise Protocol (KCP) (鍵の漏洩時手順)
- Keyholder Grant/Revoke Policies & Procedures(鍵保有者の権限付与/取消ポリシーと手続)
- Operations
- Security Audits / Pentests (セキュリティ監査・ペネトレーションテスト)
- Data Sanitization Policy (DSP) (データの破棄ポリシー)
- Proof of Reserve (PoR) (分別管理監査)
- Audit Logs (監査証跡、ログ)
取引所の運営でしたら割とそのまま当てはまるところが多いと思います。特にオペレーション部分は、セキュリティや統制チームなどの基準と合わせながら参考になるはずです。
Walletの開発でしたら、「Key / Seed Generation(鍵・シードの生成)」、「Wallet Creation(Walletの生成)」項目から、
「Key / Seed Generation(鍵・シードの生成)」
- シード値のランダムさの十分性
- 鍵生成手法の検証
- DBRG準拠
- エントロピーが十分に大きいか
「Wallet Creation(Walletの生成)」
あたりが重要になってくると思います。
暗号通貨・ブロックチェーン関連のサービス、もちろんDappsも運営する際、セキュリティ検討時にぜひご参考ください。
